1.März 2009

Der russische Sicherheitsspezialist Doctor Web hat die Analyse der Viren-Bedrohungen für den Monat Februar 2009 vorbereitet. Nach einem „traditionsmäßigen Urlaub“ im Januar machen Cyber-Kriminelle ihr Geschäft langsam weiter. Im letzten Monat ist die Malware-Masse deutlich angestiegen. Die Übeltäter greifen im Internet wieder zu einem bewährten Schneeballsystem.

Bot-Netze

Wie zuvor werden die meisten Schadprogramme verbreitet, um gigantische Netze aus den sich vermehrenden PC-Zombies im Internet aufzubauen. Solche Netze werden als Bot-Netze bezeichnet. Als Beispiel kann man solche Bot-Nezte wie Tdss und Virut anführen.

Unten wird am Beispiel von Tdss eine der beliebtesten Infektionsmethoden ausführlich behandelt. Über USB-Sticks und als gefälschte Codecs für Video-Dateien wird auf den PC die Malware hochgeladen und gestartet. Diese Malware wird von Dr.Web als Win32.HLLW.Autoruner.4612 eingestuft. Nach dem Start infiziert das Virus alle zugänglichen Festplatten und Wechseldatenträger. Danach wird eine weitere Virus-Komponente erstellt. Diese Malware wird als Win32.HLLW.Autoruner.4612 detektiert.

Für das Starten dieser Komponente erstellt das Virus eine modifizierte Kopie einer der Systembibliotheken, die von Dr.Web als Trojan.Starter.896 eingestuft wird. Einer der Systemdienste wird neu gestartet, damit das System eine modifizierte Bibliothek verwenden kann.

Win32.HLLW.Autoruner.4612 ist ein Backdoor und führt Aktionen nach Befehl eines Netz-Betreibers unbemerkbar für den Anwender aus. Zum Glück ist die Funktionalität dieses Backdoors durch das alleinige Hochladen vom Server und die Ausführung der Dateien beschränkt. Die Übertragung der Dateien wird von Win32.HLLW.Autoruner.4612 selbstständig initiiert. Auf diese Abfrage hin übermittelt der Server des Bot-Netzes Tdss verschlüsselte Daten, die ausführbare Dateien und Installationsanweisungen darstellen.

Unter der hochgeladenen Malware Win32.HLLW.Autoruner.4612 befindet sich auch der Trojaner Trojan.DnsChange.1008. Dieses Schadprogramm modifiziert die DNS-Server auf dem Rechner, was als Folge Abfangen des Internetverkehrs bzw, Blockierung des Internet-Zugriffs haben kann.

Betreiber des Botnetzes Virut benutzen bei der Infizierung der Rechner das polymorphe Virus Win32.Virut, welches ausführbare Windows-Dateien infiziert und am Ende der HTML-Dateien einen Tag platziert. Beim Öffnen einer solchen Datei wird die Malware vom Server eines solchen Bot-Netzes hochgeladen. Auf diese Funktionsweise von Win32.Virut ist seine starke Präsenz im E-Mail-Verkehr zurückzuführen. Die Anwender hängen oft HTML-Dateien an ihre E-Mails an. Viele von denen sind bereits von Win32.Virut infiziert. Folglich wird das Virus zum Tabellenführer, wenn Massen-Mails mit schädlichen Anhängen fehlen.

Eine aktuelle Version von Win32.Virut.56 verwendet verschiedene Infektionsmethoden je nach Struktur der ausführbaren Dateien. Jedenfalls wird ein Viruskörper ins Dateiende hinzugefügt. Der Viruscode wird verschlüsselt. Dabei wird der Entschlüsselungscode in die nicht genutzten Bereiche der infizierten Datei eingefügt. So kann sich auch im polymorphen Viruscode ein Code aus einer anderen infizierten Datei verstecken, wenn das Virus dies für seine Aktivität braucht.

Win32.Virut.56 enthält eine besondere Version des IRC-Clients, mit dessen Hilfe der Schädling Lade- und Startbefehle für andere Malware auf dem infizierten PC erhält.

Malware

In der ersten Februar-Hälfte 2009 konnte im E-Mail-Verkehr eine gehörige Anzahl der E-Mail-Schädlinge, die den Anwender auf vermeintliche Valentinskarten weiterleiteten, festgestellt werden. In der Karte steckte ein getarnter Trojaner Trojan.Spambot (Trojanerprogramm, das unerlaubten Spamversand von infizierten Rechnern tätigt).

Das Profitstreben der Malware-Autoren ist hoch, sie können aber ihre Produkte in der Endphase nicht testen und verfehlen im Endeffekt ihr Gewinnziel. So fügt Trojan.Encoder.36 seinen Code in Anwender-Dateien ein. Als Folge kann die Datei nicht geöffnet werden. Wegen eines Fehlers, der dem Übeltäter unterlaufen ist, wird die Meldung mit Kontakt- und Kontodaten des Cyber-Kriminellen nicht angezeigt. Um die durch Trojan.Encoder.36 beschädigten Dateien zu reanimieren, braucht man diese nur mit Dr.Web Antivirus zu scannen.

In den letzten Monaten hat sich die Zahl der Spam-Mails mit verseuchten Anhängen wesentlich verringert. Diese sind aber noch anzutreffen. In einer solchen Spam-Mail Ende Februar wird mitgeteilt, dass ein Foto des Anwenders im Internet frei verfügbar ist. Dieses Foto (Foto_Jenna.Jpg[Symbole und Unterstriche].exe) liegt vermeintlich im ZIP-Archiv, welches von Dr.Web Antivirus als Trojan.DownLoad.9125 detektiert wird.

Spam

Die Spam-Schreiber nutzen aktiv finanzielle Turbulenzen. Immer öfter kommen Mails an, in denen Anwender zur Teilnahme an Finanzpyramiden aufgefordert werden.

Viele werden in letzter Zeit mit finanziellen Problemen wegen eines Auftragsmangels konfrontiert. Deshalb wird immer öfter Internetwerbung versendet, die aber in der Regel echte Spam-Mails darstellt. Und zwar wegen derartiger Werbe-Mails ist der Spamverkehr in der zweiten Februar-Hälfte deutlich angestiegen. Wenn die Tendenz weiter anhält, wird der Spamverkehr den Wert der ersten Dezember-Hälfte 2008 übertreffen.

Was Phishing und ähnliche Betrugsmaschen anbetrifft, so ist die Zahl solcher Mails in der englischen Sprache wesentlich gesunken. Nichtsdestoweniger haben Phisher im Februar auf Kunden der Pravex-Bank in der Ukraine und der Raiffeisen Bank in Rumänien abgezielt.

Top 20 Viren im E-Mail-Verkehr

Top 20 Viren auf PCs der Anwender